除了應用交付，我們更懂ECC

APV系列應用交付控制器（Application Delivery Controller, ADC）可在提高服務(wù)器效率、降低數據中心成本和復雜性的同時(shí)，有效改善應用和IP數據服務(wù)的可用性、性能和安全性。憑借專(zhuān)業(yè)的服務(wù)器負載、鏈路負載、廣域網(wǎng)負載、SSL卸載等應用加速功能，以及行業(yè)領(lǐng)先的性能，華耀 APV系列產(chǎn)品專(zhuān)注應用交付領(lǐng)域十余年，且始終保持領(lǐng)先。隨著(zhù)數據安全要求的提升和加密技術(shù)的改進(jìn)，APV系列應用交付控制器不僅提供了強大的2048/4096 RSA解決方案，更擅長(cháng)處理ECC、SM2（商密）等復雜的SSL加速需求。

為什么是ECC？

ECC(Elliptic Curve Cryptography)橢圓曲線(xiàn)算法是一種基于橢圓曲線(xiàn)有限域的公鑰算法。相對于RSA，ECC可以使用更小的密鑰長(cháng)度來(lái)提供相同的安全保障。

更小的密鑰長(cháng)度可以節約存儲、帶寬以及計算成本，這就使得ECC在某些特定領(lǐng)域有更大的吸引力。相比RSA密鑰交換和數字簽名，ECC可以大幅提升SSL性能。根據VeriSign的測試，在某個(gè)客戶(hù)的場(chǎng)景下，使用ECC證書(shū)可以使CPU利用率降低約60%。

此外，Apple也發(fā)布了ATS（App Transport Security），強制所有的應用使用HTTPS，并且HTTPS要基于ECC的前向安全密碼套件ECDHE來(lái)進(jìn)行密鑰交換。這就加速推動(dòng)了ECC算法的使用與普及。

為什么是SM2（商密）？

SM2（商密）是國家密碼管理局按照國家相關(guān)密碼政策和法規，結合實(shí)際應用需求，參考TLS1.1（RFC4346）指定的協(xié)議標準，當前使用的版本是1.1。

SM2（商密）的密碼套件包含如下算法：

• SM2（商密）公鑰系統，基于橢圓曲線(xiàn)加密系統，私鑰長(cháng)度為256比特。SM2可以被用為：密鑰交換，非對稱(chēng)加解密和數字簽名及驗簽。
• SM3（商密）密碼雜湊算法，輸出長(cháng)度為256比特，用來(lái)保證信息完整性；
• SM4（商密）分組對稱(chēng)加密算法，密鑰長(cháng)度為128比特，用來(lái)對稱(chēng)加解密。

目前各銀行都已進(jìn)行國密改造，中國人民銀行，中國銀聯(lián)等均已支持國密標準，360也已發(fā)布支持國密標準瀏覽器。

針對ECC，華耀能做什么？

華耀 APV應用交付控制器具有如下ECC相關(guān)特性：

1. ECC證書(shū)導入導出；
2. ECC CSR生成；
3. 單個(gè)主機同時(shí)支持RSA/ECDSA類(lèi)型的證書(shū)；
4. 可配的密碼套件優(yōu)先級；
5. 支持多種ECC曲線(xiàn)：prime256v1, secp384r1 and secp521r1；
6. 可選擇的臨時(shí)密鑰產(chǎn)生的曲線(xiàn)；

這樣，用戶(hù)就可以方便的部署ECC業(yè)務(wù)：

1. 用戶(hù)可以方便的對ECC證書(shū)進(jìn)行管理；
2. 用戶(hù)可以方便的生成CSR；
3. RSA類(lèi)型的證書(shū)，也可以使用ECC的密碼套件；
4. ECDSA類(lèi)型的證書(shū)，也可以使用ECC的密碼套件；
5. 用戶(hù)可以在不影響當前業(yè)務(wù)的情況下，增加對ECDSA證書(shū)及ECDHE-ECDSA密碼套件的支持；
6. 用戶(hù)可以根據應用場(chǎng)景，靈活的配置密碼套件優(yōu)先級;
7. 支持多種曲線(xiàn)，適用更廣泛的應用場(chǎng)景；
8. 可選擇臨時(shí)密鑰產(chǎn)生的曲線(xiàn)，適用不同的應用場(chǎng)景。

針對SM2（商密），華耀能做什么？

無(wú)論客戶(hù)當前服務(wù)是HTTP還是HTTPS，華耀 APV都可以輕松將它進(jìn)行SM2（商密）改造。

華耀APV支持：

1. 簽名證書(shū)及加密證書(shū)的導入導出；
2. CFCA及SCCA格式CSR生成；
3. CFCA及SCCA格式數字信封導入；
4. 單個(gè)主機同時(shí)RSA/ECDSA/SM2（商密）多種類(lèi)型證書(shū)；
5. 可配的密碼套件優(yōu)先級。

根據上述特性：

1. 用戶(hù)可以方便的對國密證書(shū)進(jìn)行管理；
2. 用戶(hù)可以根據證書(shū)簽發(fā)機構的需要，靈活的選用CSR格式；
3. 用戶(hù)可以方便的導入不同格式的數字信封；
4. 用戶(hù)可以在不影響現有業(yè)務(wù)的情況下，增加對國密標準的支持；
5. 用戶(hù)可以根據應用場(chǎng)景，靈活的配置密碼套件優(yōu)先級。

華耀 APV支持Apple ATS所要求的所有密碼套件：

• ECDHE-ECDSA-AES256-GCM-SHA384
• ECDHE-ECDSA-AES128-GCM-SHA256
• ECDHE-ECDSA-AES256-SHA384
• ECDHE-ECDSA-AES256-SHA
• ECDHE-ECDSA-AES128-SHA256
• ECDHE-ECDSA-AES128-SHA
• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES256-SHA384
• ECDHE-RSA-AES128-SHA256
• ECDHE-RSA-AES128-SHA
• ECDHE-RSA-AES256-SHA

華耀 APV支持兩種SM2（商密）密碼套件：

• ECC-SM4-SM3
• ECDHE-SM4-SM3

其中，ECDHE-SM4-SM3為前向安全的密碼套件。

APV的亮點(diǎn)與價(jià)值

APV國產(chǎn)化硬件（自主創(chuàng )新）

APV1800-ZX

• 最大吞吐量：8Gbps
• 端口配置：4個(gè)千兆以太端口，2個(gè)千兆光口，數量可擴展，選配萬(wàn)兆光口
• 機架單位：1U

APVx850多端口系列硬件

APV2850

• 最大吞吐量：20Gbps
• 端口配置1：8個(gè)千兆以太端口，8個(gè)千兆光口，選配萬(wàn)兆光口
• 端口配置2：12個(gè)千兆以太端口，12個(gè)千兆光口，選配萬(wàn)兆光口
• 端口配置3：16個(gè)千兆以太端口，16個(gè)千兆光口，選配萬(wàn)兆光口
• 機架單位：1U

APV5850

• 最大吞吐量：40Gbps
• 端口配置1：8個(gè)千兆以太端口，8個(gè)千兆光口，4個(gè)萬(wàn)兆光口
• 端口配置2：12個(gè)千兆以太端口，12個(gè)千兆光口，選配萬(wàn)兆光口
• 端口配置3：16個(gè)千兆以太端口，16個(gè)千兆光口
• 機架單位：1U

APVx800系列硬件

APV1800

• 最大吞吐量：10Gbps
• 端口配置：4個(gè)千兆以太端口，4個(gè)千兆光口
• 機架單位：1U

APV2800

• 最大吞吐量：20Gbps
• 端口配置：4或8個(gè)千兆以太端口，2個(gè)千兆光口，選配萬(wàn)兆光口
• 機架單位：1U

APV5800

• 最大吞吐量：40Gbps
• 端口配置：4或8個(gè)千兆以太端口，4個(gè)萬(wàn)兆光口
• 機架單位：1U

APV7800

• 最大吞吐量：100Gbps
• 端口配置：8或16個(gè)萬(wàn)兆光口；選配40G光口
• 機架單位：2U

APV9800

• 最大吞吐量：160Gbps
• 端口配置：16個(gè)萬(wàn)兆光口，選配40G光口
• 機架單位：2U

APVx600系列硬件

APV2600v5

• 最大吞吐量：20Gbps
• 端口配置：8個(gè)千兆以太端口，2個(gè)千兆光口或2個(gè)萬(wàn)兆光口
• 機架單位：1U

APV3600v5

• 最大吞吐量：35Gbps
• 端口配置：4或8個(gè)千兆以太端口，4個(gè)萬(wàn)兆光口
• 機架單位：1U

APV7600

• 最大吞吐量：80Gbps
• 端口配置：8個(gè)千兆以太端口，4個(gè)千兆光口；或選配萬(wàn)兆光口
• 機架單位：2U

APV11600

• 最大吞吐量：140Gbps
• 端口配置：8或16個(gè)萬(wàn)兆光口
• 機架單位：2U